Skip to content
  • Categories
  • Recent
  • Popular
Collapse
Brand Logo
  1. Home
  2. Categories
  3. Sujets Techniques
  4. GoFAST - HTTP/2 Rapid Reset Attack (CVE-2023-44487)

GoFAST - HTTP/2 Rapid Reset Attack (CVE-2023-44487)

Scheduled Pinned Locked Moved Sujets Techniques
1 Posts 1 Posters 108 Views
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • B Offline
    B Offline
    bcrestani
    ADMIN SUPPORT-PROD
    wrote on last edited by
    #1

    Le 10 octobre 2023, une vulnérabilité relative au protocole HTTP/2 permettant une attaque par déni de service a été découverte. Cette vulnérabilité a été classée avec un score CVSS 3.x de 7.5 (HIGH). (https://nvd.nist.gov/vuln/detail/CVE-2023-44487)

    Se pose alors la question de l'impact de cette vulnérabilité sur GoFAST. Initialement, nous utilisons le protocole HTTP/2 pour les services web de la plateforme. Cependant, nous ne sommes pas affectés par cette attaque, car les valeurs des paramètres "keepalive_requests" et "http2_max_concurrent_streams" sont celles par défaut dans la configuration de notre service web. Vous pouvez consulter l'article de nginx à ce sujet ici : https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/

    Nous continuerons de surveiller cette vulnérabilité et, si nécessaire, nous ajouterons les paramètres "limit_conn" et "limit_req" lors de la prochaine version de GoFAST.

    1 Reply Last reply
    1
    Reply
    • Reply as topic
    Log in to reply
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes

    • Login
    • Don't have an account? Register
    • Search
    • First post
      Last post
    0
    • Categories
    • Recent
    • Popular
    • Search